mercoledì 31 luglio 2019

Il ritorno dei ransomware via SMS: Filecoder mira i SO Android


Sono almeno due anni che i ransomware per Android sono in declino, senza nessuna versione nuova degna di nota e senza campagne di diffusione di ampie dimensioni.  Ieri però ESET ha lanciato un alert importante, da tenere in considerazione e che, potenzialmente, indica un cambio di tendenza nel panorama delle minacce ransomware. 

E' stata infatti individuata una nuova famiglia di ransomware pensata appositamente per SO Android, distribuita tramite vari forum online. Usando la lista di contatti delle vittime, questo ransomware si diffonde ulteriormente via SMS: l'intera rubrica della vittima verrà usata per inviare SMS contenenti appunto il link dannoso cliccando il quale si avvia la catena d'infezione. Ad ora l'unica buona notizia è che questo ransomware, ribattezzato Filecoder, ha una diffusione veramente limitata, ma se i suoi sviluppatori dovessero decidere di distribuirlo in campagne più ampie, la minaccia diverrebbe davvero seria. 

martedì 30 luglio 2019

Nuova versione di Trickbot attacca il Microsoft Windows Defender


Continua l'evoluzione del famigerato trojan bancario TrickBot per prevenire l'individuazione e ridurre le possibilità di rimozione dal sistema infetto: la nuova versione, individuata in diffusione nella giornata di ieri, concentra i propri sforzi contro Windows Defender, che è molto spesso l'unico antivirus installato sul computer di utenti che eseguono Windows 10.

Trickbot in breve
TrickBot è un trojan bancario che tenta il furto delle credenziali del banking online, dei portafogli di criptovaluta, le informazioni del browser e altre credenziali salvate sul tuo PC e browser. 

"TrickBot è una famiglia di trojan bancari che ormai è in diffusione da molto tempo, dal 2016: in continua evoluzione si distingue per l'architettura modulare, che gli permette di integrare nuovi moduli per ampliare la gamma delle azioni dannose che può eseguire su un sistema infetto. Ma non solo "commenta Alessandro Papini, Presidente di Accademia Italiana Privacy ed esperto di sicurezza IT "esegue numerose tecniche per garantirsi di restare nascosto agli antivirus e ai servizi di sicurezza in generale. Un malware molto insidioso, al punto che il CISA (il Dipartimento per le Cyber Infrastrutture della Sicurezza nazionale USA) lo ha approfondito in un apposito report-alert pubblicato ad Aprile, rivolto sopratutto alle aziende. La nuova versione rende essenziale, per gli utenti Windows 10, l'introduzione di ulteriori misure di sicurezza: è ormai pratica diffusa quella di limitarsi al solo Windows Defender come strumento di difesa del dispositivo e dei dati, ma, per quanto possa essere solido, questo caso dimostra che occorrono necessariamente più livelli di sicurezza". 

La catena di infezione

venerdì 26 luglio 2019

Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?


Da oltre un mese e mezzo città e istituzioni negli Stati Uniti sono sotto un serrato attacco da parte di ransomware. Lo schema è sempre lo stesso (a parte alcune eccezioni): infettare il sistema della municipalità o dell'istituto scolastico spesso via email, criptare i dati portando al blocco di una lunghissima serie di servizi, richiedere un riscatto molto alto ed aspettare. E, a parte rare eccezioni, quasi tutte le vittime stanno cedendo. 

Difficile dire se vi sia un unico gruppo, oppure se più gruppi stanno attaccando contemporaneamente: quel che è certo è che negli Stati Uniti i ransomware stanno diventando una minaccia alla sicurezza nazionale. Non stiamo scherzando: ad esempio ieri lo Stato della Louisiana ha dichiarato lo stato di emergenza nazionale a causa di un attacco ransomware.  Proviamo a ricostruire una piccola cronologia degli attacchi. 

1. Lo stato della Louisiana dichiara l'emergenza nazionale per attacco ransomware (Luglio)

giovedì 25 luglio 2019

Vulnerabilità dell'RDP BlueKeep: individuata botnet miner in cerca di host vulnerabili


Ricordate BlueKeep, la vulnerabilità critica nell'RDP di Windows così grave da aver indotto Windows a rilasciarne la patch anche per versioni obsolete del sistema operativo Microsoft non più coperte dal supporto. 

Watchbog in breve
In brevissimo si tratta di una botnet interamente dedicata al mining di criptovaluta su dispositivi infetti zombie. Ne sono in circolazione diverse versioni, la quasi totalità delle quali pensate per attaccare e infettare server Linux. La scoperta di una nuova versione con intergrato BlueKeep è la prova lampante del debutto di questo bot nel mondo Windows. 

BlueKeep in Breve

mercoledì 24 luglio 2019

sLoad colpisce ancora: in corso campagna di distribuzione via PEC contro privati e PA italiani


Ennesimo alert da parte del CERT-PA riguardante una nuova campagna di diffusione del malware sLoad. Questa campagna si propaga attraverso i canali PEC e bersaglia sia privati che la Pubblica Amministrazione. 

Le due campagne precedenti
Ormai le campagne di diffusione di sLoad contro utenti italiani non sono affatto una novità. Appena qualche giorno fa ne sono state individuate due:

- una prima, sempre tramite il canale PEC, colpisce privati e professionisti.
Ne abbiamo parlato qui >> ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

- una seconda invece, anch'essa tramite canale PEC, ha bersagliato in dettaglio l'Ordine degli Ingegneri di Roma. Rimandiamo al bollettino specifico diramato dal CERT-PA che dettaglia la campagna >> https://www.cert-pa.it/wp-content/uploads/2019/06/CERT-PA-B003-190610.pdf

La campagna attualmente in corso
Per quanto non sia chiaro se la campagna precedente, la prima alla quale facciamo riferimento nel paragrafo precedente, sia terminata o ancora in corso, ciò che è certo è che la campagna attuale, individuata nella nottata di ieri,  è in corso ed è una terza variante, con leggere differenze rispetto alle precedenti. 

venerdì 19 luglio 2019

ALERT CERT-PA: due campagne in corso in Italia diffondono trojan


Il CERT-PA ha pubblicato due alert riguardanti altrettante campagne di diffusione di trojan rivolte esclusivamente contro utenti italiani

Si tratta, in entrambi i casi, di campagne di email di spam che contengono archivi dannosi contenenti, a loro volta, due diversi malware: Gootkit, che è una vecchia conoscenza, e sLoad. Vediamo nel dettaglio le due campagne, ricordando e ribadendo quanto sia importante essere prudenti (e sfruttare una sandbox) quando si ricevono email inaspettate contenenti link o allegati. 

1. La campagna spam diffonde Gootkit
Questa campagna è caratterizzata da email di spam in lingua italiana indirizzate principalmente alla Pubblica Amministrazione, aventi come oggetto "Internal Error" e contenenti un link che rimanda ad un file ZIP.

mercoledì 17 luglio 2019

I ransomware Ryuk e Sodinokibi fanno lievitare le richieste di riscatto


L'ammontare medio dei riscatti richiesti dopo un attacco ransomware è quasi raddoppiato nel secondo trimestre di quest'anno: i dati indicano che gran parte della responsabilità risiede nei ransomware Ryuk e Sodinokibi

Di questi due malware abbiamo parlato abbondantemente: hanno registrato un consistente incremento dell'attività e bersagliano sia target privati che organizzazioni pubbliche.  E' ovvio che colpire organizzazioni e aziende rende molto più probabile riuscire ad ottenere il pagamento di riscatti molto alti rispetto a colpire utenti home. E il motivo non è soltanto il fatto che le aziende necessitano più urgentemente di rientrare in possesso dei propri file, ma anche che lo stallo operativo conseguente ad un attacco di questo tipo comporta ulteriori costi economici e reputazionali. 

Il duopolio  di Ryuk e Sodinokibi

lunedì 15 luglio 2019

Ransomware: la settimana terribile


La scorsa settimana è stata flagellata dal fenomeno dei ransomware, tra attacchi eclatanti e nuove versioni in diffusione. Rende bene l'idea il report settimanale pubblicato da Bleeping Computer sulle novità riguardanti i ransomware: prima di un lunghissimo elenco di nuove versioni e di infezioni che hanno messo in crisi anche intere città e istituzioni universitarie, troviamo un titolo ad effetto, ma chiaro "under siege", sotto assedio. 

Segnaliamo solo le novità principali e di maggiore risalto, nell'intento di dare un quadro breve, ma chiaro, su quanto il ransomware stia risalendo nella top dei malware dopo un periodo in cui i minier di criptovaluta sembravano destinati a sostituire i "virus del riscatto" nell'armamentario preferito dei cyber criminali. 

In breve:
1. Dharma ransomware: un diluvio di nuove versioni
2. L'exploit Kit RIG "sposa" il ransomware Eris
3. Città e università criptate: come un virus può paralizzare intere istituzioni
4. Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!

giovedì 11 luglio 2019

Nuovo Ransomware bersaglia solo i QNAP: abbiamo la soluzione!


I dettagli per la risoluzione del ransomware in fondo all'articolo!

E' stata individuata una nuova famiglia di ransomware che mira specificatamente i NAS (Network Attached Storage) prodotti dalla QNAP System, azienda con sede in Taiwan. I NAS QNAP, basati su Linux, ottimali per home user e piccole imprese, sono unità di archiviazione dati collegate alla rete o tramite Internet: consentono agli utenti di archiviare e condividere i propri dati e backup con più computer. 

QNAPCrypt: come infetta i NAS QNAP
Il nuovo ransomware, scritto in linguaggio GO e soprannominato eCh0raix o QNAPCrypt, è già usato in attacchi reali per infettare e criptare i dati contenuti nei QNAP. I metodi di infezione individuati per adesso sono due:
  • il brute-forcing di NAS QNAP con credenziali deboli;
  • l'exploit di vulnerabilità già conosciute che affliggono svariate versioni dei NAS QNAP tra le quali  QNAP TS-251, QNAP TS-451, QNAP TS-459 Pro II e QNAP TS 253B.
Le prime analisi indicano che QNAPCrypt viene usato in attacchi mirati che prevedono l'uso di una chiave pubblica codificata nel codice stesso del malware, compilata per il target specifico con una chiave univoca. 

Le comunicazioni col Server di comando e controllo

mercoledì 10 luglio 2019

ALERT del CERT-PA: in diffusione in Italia variante di Ursnif


Il CERT-PA ha pubblicato nella giornata di ieri l'ennesimo alert riguardante una nuova campagna di diffusione del trojan bancario Ursnif.


Il dropper di Ursnif è in diffusione in questi giorni tramite una campagna di email di spam riguardanti finte fatture da pagare. Le email sono scritte in italiano e i mittenti sono piuttosto credibili. Sono state usate, per i mittenti, classiche tecniche di spoofing, ovvero di falsificazione dell'identità: questo e l'uso di una banale tecnica di ingegneria sociale (il sollecito del pagamento di una fattura scoperta)  rendono piuttosto alto il potenziale di successo della truffa. 

martedì 9 luglio 2019

Microsoft individua una campagna di distribuzione fileless del trojan Astaroth


Il team di Ricerca di Microsoft Defender ha individuato una campagna di distribuzione fileless del trojan per il furto di informazioni Astaroth. Astaroth è un trojan specializzato nel furto di informazioni che mira, ovviamente, ai dati più sensibili come le credenziali degli utenti usando un modulo keylogger, uno per il furto di screenshot e uno per l'intercettazione dei processi in esecuzione nel sistema operativo. 

Questo trojan è conosciuto per l'abuso di tecniche LOLBins (Living off the land binaries): rientrano in questa definizione quelle tecniche di attacco che sfruttano i processi già presenti sulsistema. Tale tipologia di attacco presenta infatti un grande vantaggio: sfruttando processi già esistenti e legittimi, entro i quali nascondere le attività dannose, si riduce il rischio di individuazione da parte degli antivirus, dato che gli AV riterranno per forza "buoni" tali processi. 

Astaroth in dettaglio sfrutta l'interfaccia della linea di comando di Windows Management Instrumentation Command-line (Wmic.exe) per scaricare e installare completamente di nascosto i payload del malware in background. 

La campagna in corso: qualche dettaglio tecnico

giovedì 4 luglio 2019

Sodinokibi: la saga continua. Adesso sfrutta anche un bug di Windows per ottenere i privilegi di amministrazione


Torniamo, di nuovo, a parlare di Sodinokibi: non possiamo fare altrimenti non solo perché Sodinokibi è già stato diffuso a più riprese in Italia, ma anche perché sta dimostrando un' incredibile prolificità di miglioramenti, affinamenti e nuove tecniche di diffusione. Se già nelle prime settimane dalla sua comparsa alcuni ricercatori di sicurezza lo hanno definito come il miglior concorrente per "rubare" il posto lasciato vuoto da GandCrab nella Top10 dei ransomware, a distanza di un mese dalla sua comparsa sulle scene non possiamo che confermare tale giudizio. 

Meno di due giorni fa alcuni campioni di Sodinokibi sono stati individuati e analizzati su alcune macchine infette: l'analisi ha permesso di mostrare questo nuovo metodo di attacco, ovvero l'exploit di una vulnerabilità nella componente Win32k. Tale vulnerabilità è presente nei sistemi Windows dal 7 al 10 e in tutte le edizioni server. 

mercoledì 3 luglio 2019

Trickbot evolve ancora: aggiunto un nuovo modulo per il furto dei cookie


Il trojan Trickbot è una vecchia conoscenza: conosciuto anche come Trickster o TheTrick, ha debuttato sulle scene dal cyber crime esclusivamente come trojan bancario, ma è stato aggiornato continuamente con nuove funzioni, moduli e tecniche di offuscamento sempre più complesse. Inizialmente aveva solo funzionalità da trojan bancario "classico", ovvero la capacità di estrapolare dalla macchina infetta quante più informazioni finanziarie possibili. Recentemente ha "mutato pelle", diventando anche un malware dropper, capace cioè di scaricare sulle macchine compromesse anche altre famiglie di ransomware.

L'ultima evoluzione è stata individuata ieri: si tratta di un nuovo modulo, chiamato Cookie Grabber, il cui scopo è quello di rubare i cookie (piccoli file di testo che i siti web salvano nel browser per varie finalità, come ricordare lo stato di login, le preferenze, i contenuti personalizzati o per tracciare l'attività di navigazione degli utenti). 

martedì 2 luglio 2019

Spelevo: l'exploit kit "vintage" che fa strage di computer


E' stato individuato, già in uso in diversi attacchi, un nuovo exploit kit: è stato scoperto pochi giorni fa impiegato per la distribuzione di due diversi trojan bancari.  Per raggiungere lo scopo, l'exploit kit utilizza un sistema di traffico diretto (TDS) o un gate che reindirizza la connessione verso una landing page dove il sistema della potenziale vittima viene analizzato in cerca di app vulnerabili.

E' un exploit browser-based che sfrutta tre diverse vulnerabilità, la CVE-2018-8174 di Internet Explorer e le vulnerabilità CVE-2018-15982 e la CVE-2018-4878 di Flash. Dato interessante che dà un tocco vintage a questo exploit, dato che Internet Explorer e Adobe Flash sono programmi che ormai non dovrebbero essere più in uso. Il fatto che uno o più cyber attaccanti abbiano deciso di approntare tale exploit dimostra  non solo che questi programmi sono ancora più diffusi di quel che si pensi, ma anche che vulnerabilità risolte da abbondante tempo non vengono patchate da moltissimi utenti. Le vulnerabilità di Flash, ad esempio, sono state risolte già più di un anno fa. 

giovedì 27 giugno 2019

Sodinokibi: attacchi contro i Managed Service Provider per diffondere il ransomware


C'era da aspettarselo, ce lo aspettavamo: la sospensione delle attività di GandCrab ha lasciato un vuoto nel mondo dei ransomware. Vuoto che è terreno di contesa tra diversi nuovi ransowmare, per conquistare il podio della minaccia ransomware più redditizia e diffusa. 

Di Sodinokibi stiamo parlando molto spesso, sia perché si sta dimostrando tra i più attivi nell'aprirsi nuovi canali di diffusione sia perchè continua a fare dell'Italia (e di pochissimi altri stati europei) l'obiettivo privilegiato. 

Un breve riassunto: cosa è Sodinokibi 
Sodinokibi è un nuovo ransomware, in diffusione da poche settimane, ma che si è già reso protagonista di svariate campagne di attacco in Europa, sopratutto in Italia e Germania. Cripta un grandissimo numero di tipologie di file: il segno distintivo di questo  ransomware è l'aggiunta di una estensione unica random che viene inserita dopo il nome originale del file criptato.  Cancella le Shadow Copies e disabilita il ripristino dello startup di Windows, così da rendere impossibile il recupero dei file eccetto che da backup esterno. Lascia una copia della nota di riscatto in ogni cartella criptata: al suo interno i contatti per ricevere le istruzioni di pagamento.   

martedì 25 giugno 2019

Il Ransomware Sodinokibi ora si diffonde con nuove modalità: il nuovo partner è l'exploit kit RIG



Qualche giorno fa abbiamo diffuso un alert rispetto ad alcune campagne di spam, mirate contro utenti italiani e tedeschi, che diffondevano il ransomware Sodinokibi.

Clicca qui se vuoi approfondire l'argomento >> Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale

Ci sono però ora delle novità in merito. Nella prima versione Sodinokibi era diffuso esclusivamente tramite email di spam: la classica email pensata secondo i criteri dell'ingegneria sociale per ridurre la soglia di attenzione, ingannare, mandare in confusione l'utente per indurlo a scaricare l'allegato compromesso ed abilitarne il contenuto.  Ora, il ricercatore di exploit kit Nao_sec ha individuato una nuova procedura di diffusione di Sodinokibi, che segna un nuovo matrimonio tra exploit kit e ransomware, ovvero l'uso del celeberrimo RIG EK.

mercoledì 19 giugno 2019

Aggiornamento Ransomware: GandCrab e Ryuk Ransomware


Breve aggiornamento settimanale su due importanti ransomware: possiamo infatti dichiarare concluso il corso di vita e attività di GandCrab, mentre torna a solcare la scena del cyber crime una vecchia conoscenza, il ransomware Ryuk.

1. GandCrab risolvibile: disponibile il tool di decriptazione.
Qualche giorno fa abbiamo appreso, ad opera degli sviluppatori stessi del ransomware, della sospensione dell'attività di GandCrab, uno dei ransomware di punta degli ultimi due anni. Ora c'è finalmente anche la possibilità di risolvere le versioni più recenti, ovvero le v. 5.0.4, v.5.1 e v.5.2

Coloro che necessitano di assistenza per queste infezione possono scriverci all'email alessandro@nwkcloud.it inviandoci la nota di riscatto e due file criptati. I nostri tecnici procederanno al test per individuare la versione e per l'approntamento del tool di decriptazione.

Ulteriori informazioni su www.decryptolocker.it

2. Ryuk Ransomware: individuata nuova versione
E' stata individuata, già in uso in attacchi reali, una nuova variante del ransomware Ryuk, una vecchia conoscenza che latitava dalle scene da qualche tempo. La variante individuata è dotata di una particolare blacklist, dove sono inseriti indirizzi IP e computer che non subiranno alcuna criptazione nel caso in cui il ransomware dovesse riuscire ad entrare nel sistema. 

martedì 18 giugno 2019

Ursnif, il malware che minaccia l'Italia: vediamolo da vicino



Gli utenti italiani sono bersagliati, ormai da mesi, in maniera ciclica durante l'arco delle settimane, da ondate di email di spam che distribuiscono varianti differenti dello stesso malware: parliamo del trojan Usrnif. Ne abbiamo parlato qui e qui. Yoroi ha analizzato attentamente questo malware: il report completo è disponibile qui (in inglese). 

Noi ve ne rendiamo una versione breve, per punti, dato che questa minaccia continua a colpire utenti italiani e non sembra affatto che queste campagne malware avranno presto termine. 

Come si diffonde Ursnif
Come detto in molti articoli precedenti, Ursnif viene diffuso tramite campagne di spam massive rivolte contro utenti italiani. Le email recano con se un allegato, solitamente un archivio compresso .ZIP contenente, a sua volta, documenti Excel dannosi. Tali fogli di calcoli rappresentano il primo step, l'inizio della catena di infezione. Il documento Excel, una volta decompresso e aperto, richiederà l'abilitazione della macro per poter correttamente visualizzare il contenuto: la macro è compromessa e contiene il codice necessario per avviare il download del payload di Ursnif. 

venerdì 14 giugno 2019

Social sotto attacco: Instagram e Telegram down per attacco DDoS


Altro giorno, altra cosa: due giorni, due attacchi, due social popolarissimi vanno down. Parliamo di Telegram, vittima di un massiccio attacco DDoS tra i giorni 12 e 13 Giugno, e di Instagram ieri. 

1. L'attacco DDoS contro Telegram
Il 12 Giugno centinaia di migliaia di utenti Telegram hanno riportato problemi nel invio e scambio di messaggi. Nessun guasto, nessun problema tecnico, ma un massiccio attacco DDoS mirato contro i sistemi della società con sede in Inghilterra. 

Telegram, via Twitter, ha fatto sapere che l'attacco si è concentrato principalmente contro i server dedicati agli utenti nordamericani, anche se l'attacco ha avuto tale potenza da causare problemi al servizio anche in altri paesi. I maggiori problemi sono stati avvertiti in Brasile, Olanda, Germania, Gran Bretagna e costa est degli Stati Uniti. Come si può vedere dalla foto sotto, proveniente dal servizio Downdetector, un sito web che traccia in tempo reale disfunzioni e attacchi su vari servizi digitali, si può vedere che il punto di fuoco principale ha impattato la costa est del sud america e degli Stati Uniti. 

giovedì 13 giugno 2019

BlueKeep, il bug dell'RDP: ecco come scoprire se un host è vulnerabile


Qualche giorno fa abbiamo dettagliato una gravissima vulnerabilità, indicata come critica, presente nei servizi di desktop remoto di Windows: tale vulnerabilità può consentire ad un attaccante di diffondere malware con capacità di propagazione di un worm. E' ritenuta così grave da aver indotto Microsoft a rilasciare la patch anche per sistemi operativi che non sono più coperti dal supporto e dagli update di sicurezza, come Windows XP e Windows Server 2003 (qui sono disponibili le linee guida di Microsoft). 

Questa vulnerabilità, conosciuta appunto come BlueKeep (CVE-2019-0708), riguarda Windows 7, Windows 2008 R2, Windows server 2008, Windows XP e Windows Server 2003. 

Pochi giorni dopo la pubblicazione dei dettagli di questa vulnerabilità, i ricercatori hanno approntato un proof of concept di exploit, dimostrando che tale bug è effettivamente sfruttabile e c'è già traccia di primi tentativi provenienti da cyber attaccanti di produrre un proprio exploit. Nella consapevolezza quindi che questo bug sarà sfruttabile a breve e data l'evidenza che sono pochissimi gli utenti che hanno proceduto all'installazione della patch, Windows ha diramato un secondo alert, sollecitando gli utenti a installare la relativa patch.

Le patch sono scaricabili ai seguenti indirizzi:

martedì 11 giugno 2019

Il trojan GootKit di nuovo in diffusione in Italia via email PEC


Il CERT-PA dirama un nuovo allarme riguardante l'ennesima campagna di distribuzione malware che sta colpendo l'Italia: la campagna in corso, individuata a partire dal 7 Giugno 2019, sta diffondendo una variante di GootKit. 

Le email vettore
Le email vettore sono provenienti da indirizzi PEC appartenenti ai provider legalmail.it, Aruba.it, Register.it: le segnalazioni di ricezione di tali email, oltre a varie PA (ma anche il CERT_PA ha ricevuto direttamente tali email), provengono sia da aziende che da privati. 

Il contenuto dei messaggi fa riferimento a multe e sanzioni per violazioni del codice stradale da parte della Polizia Locale di Arezzo (che, ovviamente, è estranea al contesto in analisi). L'oggetto delle email è del tipo:

“Atto amministrativo relativo ad una sanzione amministrativa prevista dal Codice della Strada Nr. Y/xxxxxx/2019”.

venerdì 7 giugno 2019

Nuova botnet sta tentando il brute-forcing di oltre 1.5 milioni di server RDP


Sono state molteplici le segnalazioni, provenienti da  diversi team di sicurezza, riguardanti una sofisticatissima campagna botnet, attualmente in corso a livello mondiale: questa campagna sta tentando il brute-force di più di un milione e mezzo di server Windows RDP pubblicamente accessibili in Internet. 

Ribattezzato Goldbrute, lo schema della botnet è progettato per incrementare gradualmente,  aggiungendo di volta in volta un nuovo sistema infetto nella sua rete. Per rimanere invisibile agli strumenti di sicurezza e agli analisti malware, gli attaccanti dietro questa campagna inviano comandi a ciascuna macchina infetta di colpire milioni di server usando una unica combinazione di username e password, di modo che il server bersaglio riceva i tentativi di brute-force da diversi indirizzi IP

Ecco lo schema di attacco di GoldBrute: 

giovedì 6 giugno 2019

L'exploit kit RIG, vedovo di GandCrab, mette in distribuzione il nuovo ransomware Buran


Qualche tempo fa scrivemmo un articolo che dettagliava una delle accoppiate "vincenti" per il cyber crimine: l'unione cioè di exploit kit con i ransomware. 


Parliamo, per capirsi, di cyber criminali spesso appartenenti a gruppi diversi che uniscono le proprie forze per diffondere malware e condividere i relativi guadagni: ecco quindi che chi affitta exploit kit come fosse un servizio, ricerca, per monetizzare la propia creazione, malware di vario genere da diffondere per guadagnare. Nella quasi totalità dei casi troviamo in diffusione trojan bancari o ransomware. 

mercoledì 5 giugno 2019

Campagne di malspam contro utenti italiani: i dati di Maggio del CERT-PA


Fonte: seqrite.it
Qualche giorno fa, il CERT Pubblica Amministrazione, ha pubblicato i dati relativi al monitoraggio delle campagne di email di spam/dannose diffuse in Italia nel mese di Maggio 2019: sono tutte campagne per le quali il CERT_PA ha prodotto e condiviso gli indicatori di compromissione.

In termini generali, colpisce una altissima percentuale di eventi legati alla diffusione di malware di tipo ransomware, seguita da una vera e propria ondata di Trojan Bancari (che ha colpito anche nel settore privato) e da ampie campagne di spear phishing mirate principalmente al furto di credenziali istituzionali

martedì 4 giugno 2019

Nuovo allarme ransomware in Italia: Sodinokibi si diffonde via false email a contenuto legale


I ricercatori di Yoroi hanno diramato un nuovo alert relativo ad attacchi in corso contro sia contro home user che enti/aziende italiane. Nel dettaglio, si tratta di vere e proprie ondate di attacchi nei quali vengono diffuse centinaia di migliaia di email di spam contenenti archivi compromessi. In diffusione c'è una nuova minaccia ransomware, chiamata Sodinokibi. 

Le email vettore
Le email sono messaggi fraudolenti che simulano comunicazioni di carattere legale: nel dettaglio si parla di importanti documenti legali (come pignoramenti) e, addirittura, notifiche di comparizione.  Tutte le email, con oggetto variabile da ondata a ondata, recano un archivio compresso solitamente rinominato "i tuoi documenti del caso.doc" e protetto da password.  L'apertura dell'allegato comporta il download e l'esecuzione del ransomware Sodinokibi.

Una nuova minaccia ransomware: Sodinokibi

lunedì 3 giugno 2019

Il ransomware GandCrab va in pensione dopo un guadagno (dichiarato) di 2 miliardi di dollari


Dopo circa un anno e mezzo di attività, gli operatori che si celano dietro il famigerato ransomware GandCrab hanno annunciato lo stop delle operazioni e il blocco della distribuzione del ransomware alla rete dei propri affiliati. 

GandCrab è divenuto la punta di diamante del mondo dei ransomware nel Gennaio 2018, colmando il vuoto lasciato da suoi "illustri" colleghi quali TeslaCrypt, CryptoWall, Spora Ransomware, che hanno tutti sospeso le proprie attività (chi per scelta degli attori, chi per la capacità dei ricercatori di sicurezza di forzarne il decrypt senza il pagamento del riscatto oppure ancora per attacchi coordinati di polizia e strutture di sicurezza informatica contro i loro server di comando e controllo). 

mercoledì 29 maggio 2019

Ancora un milione di computer vulnerabili alla falla "wormable" BlueKeep


Nonostante vendor e l'intera comunità dei ricercatori di sicurezza stiano ripetendo in ogni forma, occasione e modalità la gravità della falla BlueKeep invitando ad installare la patch prima possibile, ci sono ancora quasi 1 milione di computer eseguenti il sistema operativo Windows che risultano ancora vulnerabili.  

BlueKeep, una vulnerabilità di livello critico del Remote Desktop Procotol (RDP) di Windows è stata scoperta pochi giorni fa: è una vulnerabilità  che consente l'esecuzione di codice da remoto e la diffusione di malware "alla maniera" dei worm, da computer vulnerabile a computer vulnerabile. Presenta un livello di virulenza teoricamente paragonabile a quello delle gravissime infezioni ransomware "wormable" Wannacry e NotPetya, essendo in grado di diffondersi automaticamente in altri sistemi non protetti.  Questa vulnerabilità riguarda i SO Windows 2003, Windows XP, Windows 7, Windows Server 2008 e 2000 R2. 

Per approfondire vedi qui >> https://bit.ly/2YT628j
Qui le linee guida di Microsoft sulla problematica >> https://bit.ly/2WcJ7rI

Ancora 1 milione di macchine vulnerabili

martedì 28 maggio 2019

Snapchat: i dipendenti, con accesso ai dati sensibili, spiavano gli utenti


Snapchat è un app molto molto diffusa tra gli adolescenti e in questi giorni è al centro di un grosso scandalo che riguarderebbe proprio la privacy dei suoi giovani e giovanissimi utenti. E' stata Motherboard a ricostruire e rendere pubblica la vicenda, dopo aver messo le mani su diverse email interne girate tra vari dipendenti: in breve si parla di accesso abusivo ai dati degli utenti per spiarli. Sono stati alcuni ex dipendenti, che hanno deciso di rimanere anonimi, a fornire le email incriminate e rivelare un abuso senza controllo dell'accesso ai dati degli utenti. 

Quali dati Snapchat ha su di noi?
A Snapchat sono molteplici i tool che l'azienda fornisce ai dipendenti per accedere ai dati degli utenti: informazioni di ogni tipo ma sopratutto sensibili, alle quali spesso gli utenti non prestano molta attenzione laddove non ignorano palesemente anche solo di fornirli con le attività quotidiane sull'app. Qualche esempio? Il numero di telefono collegato all'account, la posizione geografica in qualsiasi momento, i metadata dei messaggi (che rivelano con chi e quando ci siamo scambiati messaggi) e, in alcuni casi, anche contenuti come le "memorie" o voto e video salvati. Tutti dati molto sensibili. 

SnapLion, ovvero "le chiavi del regno"

lunedì 27 maggio 2019

Vulnerabilità critica nel RDP di Windows: picco di scansioni online in cerca di potenziali vittime da parte dei cyber criminali


Qualche giorno fa sono state pubblicate le prime informazioni su BlueKeep, una grave vulnerabilità del protocollo Remote Desktop di Windows che può consentire ad un attaccante che dovesse sfruttarla con successo di eseguire da remoto codice dannoso sulla macchina infetta oppure prenderne completamente il controllo. Oltre a ciò, la vulnerabilità CVE-2019-0708 permette la creazione di malware con funzionalità worm, in grado cioè di spostarsi lateralmente nelle reti (ovvero di diffondersi da un pc ad un altro nella stessa rete senza necessità di interazione degli utenti). Se dovessimo fare dei paragoni, siamo in presenza di qualcosa di molto simile al EternalBlue, l'exploit responsabile della drammatica diffusione del ransomware WannaCry nel 2017. 

Per maggiori informazioni sulla vulnerabilità in oggetto, rimandiamo al paper tecnico dei Quick Heal Security Labs, tradotto in italiano a questo indirizzo >> https://bit.ly/2VRqvsz

Riprendiamo l'argomento (invitando di nuovo ad installare prima possibile gli Update di Sicurezza

venerdì 24 maggio 2019

GetCrypt: risolvibile il ransomware che tenta il brute-forcing di credenziali


Qualche giorno fa è stato individuato dai ricercatori di Bleeping Computer un nuovo ransomware chiamato GetCrypt. Le analisi hanno svelato che questo ransomware si diffonde tramite campagne di malvertising che reindirizzano la vittima verso l'exploit kit RIG. Una volta che il ransomware è installato sul pc, i file finiscono criptati e compare la richiesta di riscatto. 

Il gioco è semplice: le vittime subiscono l'installazione del ransomware al momento in cui finiscono vittime di una campagna di malvertising chiamata Popcash, che cerca di convincere gli utenti a cliccare su link contenuti in email di spam. Il clic sul link reindirizza l'utente verso siti compromessi contenenti l'exploit kit RIG, che cerca e sfrutta alcune vulnerabilità di sistema piuttosto diffuse per ottenere l'accesso alla macchina.  Se l'exploit ha a successo su sistemi Windows, GetCryp viene immediatamente scaricato ed installato. 

Come cripta il computer

mercoledì 22 maggio 2019

Google ha lasciato in chiaro per 14 anni le password di utenti G Suite


Dopo Facebook e Twitter, Google è il successivo gigante della tecnologia che ha accidentalmente salvato le password dei propri utenti in chiaro sui propri server. Conseguenza è che per tutto il tempo di vigenza del bug, gli impiegati Google hanno avuto la possibilità di accedere ai dati e vedere in chiaro le password, così come può essere successo anche a cyber attaccanti che possono aver avuto accesso ai server, dato il lasso di tempo così lungo. 

E' stata Google stessa a rivelare, con un post sul suo blog, questa problematica della piattaforma G Suite, che ha esposto per 14 anni le password di utenti aziendali: i dati, salvati in server interni, sono finiti in chiaro a causa di un bug nella funzione di recupero della password. 

martedì 21 maggio 2019

TeamViewer conferma una violazione (non divulgata) del 2016


TeamViewer ha confermato ieri di essere stata vittima di un attacco informatico scoperto nell'autunno 2016, ma mai divulgato. Gli attaccanti hanno usato la backdoor Winnti. 

L'azienda dietro uno dei software di gestione da remoto più usato al mondo ha fatto sapere al settimanale Der Spiegel che l'attacco è stato scoperto prima che gli attaccanti fossero in grado di compiere danni e che tutte le indagini svolte per trovare tracce dell'uso di dati rubati durante l'incidente di sicurezza hanno dato esito negativo. 

lunedì 20 maggio 2019

Pioggia di attacchi DDoS contro l'Italia: in alcuni casi richiesto un riscatto


Lo rivela la società tedesca Link11, che si occupa specificatamente di difesa contro attacchi DDoS: Link11, che sta proteggendo molteplici aziende italiane, non specifica né numeri né nomi di aziende, ma indica solo che sono molteplici gli attacchi contro hosting provider italiani, ISP e Data center. Attacco che sta determinando disfunzioni e interruzioni di servizi su migliaia di siti ospitati dai provider sotto attacco. 

L'attacco DDoS è accompagnato dalla ricezione di una email, a nome di Turkish Hacker, che richiede il pagamento di un riscatto in BitCoin al fine di evitare attacchi superiori ai 100 Gbps. Il pagamento viene preteso nell'arco di 24-48 ore. La campagna prosegue ormai da inizio Maggio.

mercoledì 15 maggio 2019

Sito web fake di WhatsApp diffonde backdoor per macOS e Windows


La nuova minaccia per sistemi operativi macOS è stata individuata qualche giorno fa dai ricercatori Dr Web: il malware si chiama Siggen.20 e le analisi hanno indicato che si tratta di una backdoor che consente agli attaccanti di scaricare da un server remoto ed eseguire sul dispositivo del codice Python dannoso. 

Siggen infetta i dispositivi delle vittime tramite siti web compromessi gestiti direttamente dai suoi sviluppatori: la maggior parte di questi siti compromessi sono siti personali di persone inesistenti

martedì 14 maggio 2019

Ancora PEC sotto attacco: campagna di email diffonde il malware Gootkit


Yoroi segnala una ennesima, pericolosa, campagna in corso contro aziende e enti pubblici italiani. I tecnici di Yoroi hanno intercettato email dirette alle caselle di posta PEC contenenti allegati infetti. 

Le email vettore
Le email che diffondono il malware sono approntate per sembrare comunicazioni collegate a problematiche di tipo amministrativo, quella che va per la maggiore vuole convincere l'utente ad aprire l'allegato descrivendolo come una fattura non liquidata. 

venerdì 10 maggio 2019

Hacker VS PEC: l'attacco si allarga, il Garante Privacy lancia l'allarme


Le notizie di ieri si sono concentrate sull'attacco che gli hacktivisti di Anonymous hanno lanciato contro i server Lextel, il provider che gestisce gli account email PEC dell'ordine degli Avvocati di Roma. In breve, per rinfrescare la memoria, gli attaccanti sono riusciti a violare l'account amministratore, mettendo quindi le mani sul documento dove erano salvate in chiaro (e già questo fatto è una grave falla di sicurezza) le password di default degli account email PEC: così Anonymous è riuscita a mettere le mani sui dati e la corrispondenza di oltre 30.000 avvocati romani che non hanno mai proceduto alla sostituzione della password di default: l'attacco è avvenuto nei pressi dell' anniversario dell'arresto di Aken e Otherwise, due membri di AnonIta arrestati nel Maggio 2015 (ai quali l'attacco è stato dedicato). 

L'attacco è in corso da giorni, su più obiettivi

giovedì 9 maggio 2019

Nuova versione del ransomware Dharma usa ESET come copertura


E' stata individuata, già in uso in attacchi reali, una nuova versione della famigerata famiglia di ransomware Dharma: in questo caso viene usato, come copertura, l'installer ESET AV Remover. Si tratta di una copertura usata per distrarre le vittime mentre la criptazione dei file avviene in background. L'ESET AV Remover è un software legittimo firmato con valida firma ESET, quindi è un ottimo trucco per distrarre le vittime, dato che non induce sospetti. 

Come si diffonde
Stando all'analisi di BleepingComputer, questo ransomware viene diffuso usando campagne di spam contenenti allegati compromessi: il dropper del ransomwar Dharma è contenuto in questo allegato, un archivio auto estraente protetto da password. L'archivio si chiama Defender.exe ed è ospitato su un server compromesso, link[.]fivetier[.]com.

martedì 7 maggio 2019

[ Giovedì 13 Giugno] [FIRENZE] 1° Privacy Camp: il tour formativo itinerante su GDPR e protezione dati.


PRIVACY CAMP è il tour itinerante per l'Italia che promuove la cultura della privacy e del Regolamento Europeo nelle aziende, nelle attività e negli studi professionali.

Organizzato da gdprlab.it e patrocinato da Accademia Italiana Privacy si articola sugli interventi di 4 relatori che parleranno della privacy da un punto di vista legale, fiscale, pratico e di tecnologia di protezione dei dati.

Cosa si deve fare per essere in regola?
Come bisogna comportarsi con i dipendenti e con i clienti?

lunedì 6 maggio 2019

MegaCortex: il nuovo ransomware che colpisce le reti aziendali (anche in Italia)


E' stato individuato, già usato in attacchi reali, un nuovo ransomware che prende di mira le reti aziendali e le workstation collegate. Si chiama MegaCortex e usa i domain controller di Windows per distribuirsi in tutta la rete, una volta trovato un punto di accesso. Si registrano infezioni già in svariati stati, sopratutto in Stati Uniti, Italia. Canada, Francia, Paesi Bassi e Irlanda. Non si conoscono ancora molti particolari di questo ransomware, sopratutto sui meccanismi di diffusione e di criptazione, perchè risulta essere integralmente nuovo: non c'è traccia, nel suo codice, di elementi "presi in prestito" da altre famiglie di ransomware. 

Quale dato tecnico
Quel che per ora i ricercatori di sicurezza sono riusciti a ricostruire è che il ransomware MegaCortex infetta reti sulle quali sono già presenti altri due malware, ovvero i trojan Emotet (bancario) e Qakbot (botnet): questo fatto suggerisce che gli attaccanti stiano pagando gli operatori ai comandi di questi due trojan per sfruttare l'accesso che questi hanno già ottenuto ai sistemi aziendali. 

venerdì 3 maggio 2019

Campagna di phishing contro utenti italiani a tema "Rimborso canone Rai"


Il CERT-PA ha diramato proprio ieri un alert riguardante una campagna di phishing, attualmente in corso, mirata principalmente agli account email di Pubbliche Amministrazioni e società private: scopo della campagna è indurre le vittime a rivelare le credenziali delle carte di credito aziendali o private, così da poterle rubare. 

L'email fake
Le false email sembrano provenire dall'Assistenza servizi telematici dell'Agenzia delle Entrate: in realtà una analisi attenta mostra come l'indirizzo del mittende sia contraffatto e non riconducibile all'Agenzia stessa. 

Il CERT-PA ha pubblicato l'immagine sotto che mostra un esemplare delle email di questa campagna:

giovedì 2 maggio 2019

Ancora problemi per Windows 10: le nuove funzioni di sicurezza rallentano il sistema


E' di qualche giorno fa un approfondito report, da parte del team di Vivaldi, riguardante l'impatto che le nuove funzioni di sicurezza di Windows 10 hanno sulle performance di sistema. In realtà il report nasce da una approfondita analisi di un grave bug, riscontrato sempre dai ricercatori di Vivaldi, riguardante Chromium: ulteriori analisi hanno mostrato come il grave rallentamento di prestazioni rispetto alle precedenti versioni di Windows (sopratutto Windows 7)  non sia originato da Chromium, ma da una funzione di sicurezza introdotta con Windows 10. 

La problematica
Vivaldi non ha mai usato, come tester, Windows 10, ma solo Windows 7 Pro. L'introduzione nella suite test di Windows 10 ha dimostrato immediatamente la problematica: la durata del test di sicurezza è passata da circa 100 minuti a ben 300 minuti, in alcuni casi perfino 360. I tentativi di

martedì 30 aprile 2019

"Il tuo computer è stato bloccato. Chiama per supporto": la Polizia Postale dirama alert su una nuova ondata di truffe online


La Polizia Postale ha pubblicato pochi giorni fa un avviso per gli utenti italiani, per informare di una nuova ondata di truffe finalizzata all'estorsione di denaro alle vittime

Sono state infatti molteplici le segnalazioni di utenti che, durante la navigazione su siti web anche legittimi, hanno improvvisamente visualizzato un messaggio di allarme proveniente, in apparenza, da Microsoft: 

lunedì 29 aprile 2019

Libero e Virgilio Mail hacked: rubati (da un bar) gli accessi di oltre 1.4 milioni di utenti


E' stato sufficiente appostarsi in un bar di Assago (provincia di Milano) a poche decine di metri in linea d'aria dalla sede di Italiaonline S.p.a con un pc e un antenna per riuscire a rubare le credenziali di accesso ad oltre 1 milione e 400 mila utenti di Libero Mail e Virgilio Mail. La storia, già rimbalzata sulle cronache nazionali, ha dell'incredibile: protagonista uno studente di Giurisprudenza di 24 anni, ingaggiato su Telegram da ignoti attaccanti che gli hanno garantito un buon gruzzolo in Bitcoin come ricompensa. 

L'attacco pare essersi svolto in due diversi momenti: un primo tentativo era stato fermato la scorsa settimana, quando i proprietari del bar in cui si era appostato l'attaccante avevano trovato insolito l'armamentario del ragazzo (montava sul pc una grossa antenna per captare da lontano il WiFi di Italiaonline) e lo avevano inseguito, riuscendo però a scattargli solo una foto.  Il secondo tentativo invece è stato interrotto direttamente dai Carabinieri, che lo attendevano appostati nel bar. 

giovedì 18 aprile 2019

La riscossa di CryptoMix: nuova versione del ransomware in diffusione


Molti ricercatori lo davano ufficialmente per scomparso: non si avevano notizie né di nuove versioni né di nuove campagne del ransomware CryptoMix da tempo. Invece da qualche giorno fioccano denunce di nuove infezioni: molteplici utenti  hanno denunciato di aver subito un'infezione ransomware caratterizzata dall'aggiunta dell'estensione .DLL al file criptati. 

Le vittime riferiscono di aver subito l'infezione dopo un attacco che ha violato i servizi di desktop remoto connessi direttamente ad Internet. Le testimonianze riferiscono inoltre che il ransomware ha abilitato l'account amministratore di default per poi modificarne la password, così da impedire alla vittima di avervi accesso. Fatto che conferma una tendenza già in atto: sempre meno campagne di mailspam di massa per la distribuzione di ransomware in favore di attacchi più mirati su servizi pubblicamente accessibili che garantiscono un accesso più ampio al sistema. 

La nota di riscatto

lunedì 15 aprile 2019

Campagna malware crea botnet per il mining di Monero sfruttando (ancora) EternalBlue


Ricordate l'attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all'uso di una serie di exploit sottratti all'NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1. 

Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l'SMB,  disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono "giustificabili": che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile. 

giovedì 11 aprile 2019

Botnet Mirai: nuove varianti colpiscono nuovi processori e architetture


La saga della Botnet Mirai e del malware responsabile, Mirai appunto, pare non finire mai. Dopo qualche mese di silenzio, i ricercatori della Unit 42 di Palo Alto Network hanno individuato una intera collezione di nuove varianti di Mirai compilate per eseguirsi su processori e architetture nuove, non bersagliati cioè da versioni precedenti.

Aumenta la superficie di attacco
Le nuove versioni, si legge nel report della Unit42, sono compilate per i processori Altera Nios II, OpenRISC, Tensilica Xtensa e Xilinx MicroBlaze. Le nuove varianti "consentono agli attaccanti di espandere la propria superficie di attacco e mirare a nuovi dispositivi". Anche se lo stesso risultato è raggiungibile aggiungendo ulteriori exploit da usare durante gli attacchi, aggiungere altre architetture supportate negli attacchi è un modo più semplice per aumentare il numero di dispositivi che la botnet può aggiungere come nodi controllati. 

Aumenta la potenza di fuoco

mercoledì 10 aprile 2019

Criptovalute: crollo dei miner in-browser, impennata dei malware


Abbiamo denunciato in più occasioni il problema dei miner di criptovalute: nati come strumenti legittimi per sostituire gli ads come mezzo di guadagno per i gestori di siti web, in pochissimo tempo si sono "tramutati" in vere e proprie armi illegali di attacco contro utenti ignari.  La loro diffusione era divenuta così estesa da obbligare piattaforme di rilievo come Google Play  a rimuovere tutte le app per il mining e a impedire la pubblicazione di nuove. 

In questi ultimi due anni, periodo nel quale la loro diffusione ha mostrato una crescita più che esponenziale, si è affermato sopratutto l'uso dei miner in browser: parliamo di codice JavaScript inserito entro siti Internet o web server compromessi o appositamene creati (crypto-jacking) .

Da più fonti, nel mondo della sicurezza informatica, si sta denunciando, però, un cambiamento piuttosto drastico: i dati mostrano un netto calo dei miner in browser, al quale corrisponde al contrario un'impennata dei malware per il mining. Il motivo parrebbe essere legato, principalmente, ad una questione di efficacia. 

lunedì 8 aprile 2019

Piattaforma GDPRlab: le novità della versione 2.0


Da Lunedì 8 Aprile è online la versione 2.0 della piattaforma GDPRlab. Grazie ai nuovi update tecnici e normativi introdotti, ti consentirà di mantenere la tua azienda e quella dei tuoi clienti conforme in tempo reale al Regolamento (UE) 2016/679 (GDPR), verificando il livello di compliance e generando il certificato di conformità secondo le linee guida di Accademia Italiana Privacy (A.I.P.), con il quale potrai fregiarti professionalmente. 

La nuova versione della piattaforma implementa anche il sistema di gestione del livello di formazione dei tuoi incaricati, obbligatoria ai sensi dell'articolo 29 del Regolamento, ti fornisce un sistema di log management per gli Amministratori di sistema e molte altre nuove funzionalità.

Ecco tutte le novità!

giovedì 4 aprile 2019

False comunicazioni INAIL diffondono il malware Gootkit via PEC


Il periodo nero per l'Italia, dal punto di vista della sicurezza informatica, non accenna a finire: l'attentissimo CERT-PA ha diramato stamani un nuovo alert (oltre a quello di cui abbiamo già parlato qui) agli utenti italiani, sopratutto utenti privati. Sono stati infatti proprio utenti privati a segnalare la diffusione di malware via email PEC tramite false comunicazioni INAIL. Da numerosi riscontri su Twitter, di singoli utenti o esperti di cyber sicurezza, si ha conferma del fatto che la campagna è ancora in corso. 

L'email vettore

mercoledì 3 aprile 2019

Di nuovo GandCrab: campagna in corso diffonde la v.5.2 del ransomware


La segnalazione proviene di nuovo dal CERT-PA italiano che, nel corso del fine settimana, ha rilevato una campagna di email di spam che diffonde la versione 5.2 del ransomware GandCrab. In questa campagna, GandCrab viene diffuso tramite email contenenti un allegato .doc, contenente a sua volta una macro dannosa. 

La macro è altamente offuscata per ridurre le possibilità di individuazione da parte delle soluzioni di sicurezza: una volta eseguita tenta immediatamente il download di un file rinominato "it.txt", dal percorso hXXp://134[.]209[.]88[.]23/it.txt. Una volta scaricato il file, lo esegue tramite cmstp.exe (MS Connection Manager Profile Installer) coi parametri 
  • /ns --> questo parametro specifica che non deve essere creata un'icona sul desktop
  • /s --> specifica che l'installazione o la disinstallazione deve avvenire "silenziosamente", ovvero senza che venga visualizzato alcun prompt per richiedere permissioni all'utente. 

Una volta installato, il ransomware esegue alcune verifiche preliminari prima di avviare la routine di criptazione: in prima battuta verifica se sulla macchina compromessa sono presenti processi relativi a soluzioni antivirus.